Google ha annunciato l’estensione del programma di rimborso monetario per tutti coloro i quali, agendo secondo le regole stabilite, notificheranno al gruppo eventuali bug scoperti nelle applicazioni sviluppate a Mountain View. Si va da un minimo di 500 dollari ad un massimo di 3,133.7 dollari sulla base della pericolosità che bug che Google avrà la possibilità di correggere.
Con questa iniziativa Google non solo conferma la bontà dell’omologo progetto già avviato per Google Chrome, ma ne certifica il successo estendendone la portata anche ad altri servizi già elargiti dal gruppo. Il progetto prevede una iniziale estensione a 4 ambiti specifici: Google (il motore di ricerca), YouTube, Blogger, Orkut. Android, Picasa, Google Desktop ed altre applicazioni rimangono al momento fuori dalla portata dei “bug hunter”.
Google spiega che non c’è un range specifico in cui i bug vanno cercati, ma la zona è sommariamente circoscritta a XSS, XSRF/CSRF, XSSI, bypass di autorizzazioni ed esecuzione di codice server-side. Dal programma sono invece escluse tutte le vulnerabilità che non dipendono strettamente dal codice sviluppato in Google, cioè debolezze sfruttate con tecniche blackhat, attacchi fisici, servizi ospitati su server terzi o bug identificati in tecnologie di recente acquisizione.
Una volta scoperto un bug, Google chiede che la notifica venga inviata agli appositi contatti: si riceverà specifica risposta dal Google Security Team e si conoscerà pertanto a quanto ammonta la somma accreditata in ringraziamento per la scoperta. E, se ne varrà la pena, il nome dell’autore della scoperta potrebbe apparire nell’apposita “Hall of Fame” relativa ai bug più importanti corretti sulla base di questo modus operandi.
Google e Microsoft sono da tempo in combutta per questo tipo di approccio alla sicurezza poiché non tutti gli esperti sono d’accordo su una retribuzione (sia pur se simbolica) che vada a creare valore attorno ai bug identificati nei software e nei servizi online. Il rovescio della medaglia è però in un programma di incentivo che al momento sembra funzionare a dovere e che ha permesso a Google di correggere in corso d’opera un alto numero di bug che avrebbero altrimenti minato la sicurezza del browser di Mountain View.